Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17
|
Добрый день. Есть корневой УЦ. Несколько раз производилось обновление корневого сертификата. Соответственно в свойствах службы сертификатов отображаются предыдущие версии корневого сертификата (Сертификат № 0, Сертификат № 1...) и выпускаются соответствующие СОС.
Как правильно перенести УЦ на другую машину, таким образом чтобы выпускались СОС от предыдущих версий корневого сертификата? т.е. чтобы служба сертификации "подцепила" предыдущие версии корневого сертификата, а не только последнюю
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
|
Николай написал:Добрый день. Есть корневой УЦ. Несколько раз производилось обновление корневого сертификата. Соответственно в свойствах службы сертификатов отображаются предыдущие версии корневого сертификата (Сертификат № 0, Сертификат № 1...) и выпускаются соответствующие СОС.
Как правильно перенести УЦ на другую машину, таким образом чтобы выпускались СОС от предыдущих версий корневого сертификата? т.е. чтобы служба сертификации "подцепила" предыдущие версии корневого сертификата, а не только последнюю а каков замысел? есть люди работающие на ключах подписанных предыдущими ключами ЦС? Отредактировано пользователем 27 марта 2008 г. 12:21:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17
|
Да, к сожалению пока еще есть... А вобще критично или нет, то что ЦС не сможет выпускать СОС для еще действующих сертификатов подписанных предыдущий версией корневого?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
|
Николай написал:Да, к сожалению пока еще есть... А вобще критично или нет, то что ЦС не сможет выпускать СОС для еще действующих сертификатов подписанных предыдущий версией корневого? смотря как работа построена. мы КриптоПро командную строку прикручивали к другой вещи, так там вообще вызвалась команда с параметром отключения проверки цепочки сертификатов В общем случае, если СОС просрочен - работать не будет В принципе можно накрутить настройки на ЦС по периоду публикации СОС (дать ему следующий срок обновления уже после даты окончания действия последнего закрытого ключа пользователя), и выпустить СОС руками. Но если понадобится отозвать сертификат - ничего не выйдет. Если в чем то я ошибся, пусть товарищи из КриптоПро меня поправят... 
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17
|
Значит автоматически СОС от предыдущих версий корневого выпускаться уже не будут? Тогда если сделать копию базы службы сертификации, взять попоследнюю версию корневого, и восстановить всё это на другой машине по стандартной процедуре, то последний СОС будет выпускаться автоматически? или из-за отсутствия предыдущих версий корневого может не выпуститься? Вобщем будет ли функционировать атоматическое издание СОС хотя-бы от последнего корневого при переносе на другую машину.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.01.2008(UTC)
Сообщений: 93
|
Николай написал:Значит автоматически СОС от предыдущих версий корневого выпускаться уже не будут? Тогда если сделать копию базы службы сертификации, взять попоследнюю версию корневого, и восстановить всё это на другой машине по стандартной процедуре, то последний СОС будет выпускаться автоматически? или из-за отсутствия предыдущих версий корневого может не выпуститься? Вобщем будет ли функционировать атоматическое издание СОС хотя-бы от последнего корневого при переносе на другую машину. мое мнение: будет все работать как и должно, за исключением выпуска СОС подписанных предыдущими ключами ЦС. А как старые пользовательские сертификаты будут себя вести -? Тоже по идее должно работать (СОС актуальный, предыдущие сертификаты ЦС везде поставить в доверенные).Проще попробовать это на тестовом УЦ развернуть и все потрогать руками, как будет работать. Косяки могут полезть в самый неподходящий момент. А вообще по этому вопросу были какие то обрывочные сведения на Старом форуме
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 28.12.2007(UTC)
Сообщений: 350
Откуда: ООО "КРИПТО-ПРО"
Поблагодарили: 6 раз в 5 постах
|
Разумеется, МОЖНО сделать так, что при переносе ЦС на другую машину все прежние настройки будут сохранены (в т.ч. и все ключи и сертификаты ЦС). При этом будут выпускаться все нужные СОС.
В двух словах - сначала переносим секретные ключи ЦС, потом устанавливаем в "Доверенные корневые ЦС" локального компьютера все нужные корневые сертификаты ЦС (последовательно), потом их же ставим в "Личные" локального компьютера с привязкой к секретным ключам, а потом запускаем установку службы сертификации, говорим использовать существующий контейнер и сертификат и указываем тут последний.
Все предыдущие она сама подхватит, если всё было сделано правильно.
Единственная особенность - на время установки MS CA нужно снять (или запомнить) пароли на все ключевые контейнеры секретных ключей ЦС.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 27.03.2008(UTC)
Сообщений: 17
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
